偽の出会い系およびソーシャルネットワーキングアプリを利用して機密性の高い個人データを盗み出す大規模なマルウェアキャンペーンが、モバイルセキュリティ研究者によって明らかになりました。
「SarangTrap」と名付けられたこの作戦は、AndroidとiOSの両プラットフォームにまたがり、250以上の悪意あるアプリと80以上のフィッシングドメインを利用して、特に韓国のユーザーを標的にしています。
Zimperiumが水曜日に発表したレポートによると、このキャンペーンは感情的に操作する手口を用いており、偽のプロフィールや限定の「招待コード」、そして説得力のあるアプリインターフェースを通じて被害者を誘い込んでいます。
これらのアプリは正規のサービスを模倣していますが、ユーザーデータ(連絡先、プライベート画像、SMS内容、端末識別子など)へのアクセスと抽出のみを目的としています。
インストールされると、アプリは洗練されたインターフェースを表示し、フル機能のために必要と思われる権限を要求します。ユーザーはコードの入力を促され、これが隠されたスパイウェアの動作を引き起こします。アプリがアクセス権を得ると、機密データは静かに攻撃者が管理するサーバーへ送信されます。
進化する手口とクロスプラットフォーム展開
ZimperiumのzLabsチームによる最近の分析で、マルウェアの戦略に変化が見られました。
新しいAndroidサンプルでは、開発者がマニフェストファイルからSMS権限を削除しつつ、メッセージ流出のコードは残しています。これは、スパイウェア機能を維持しながらセキュリティスキャンを回避するための継続的な実験を示唆しています。
iOSユーザーに対しては、従来のアプリインストールの代わりに悪意のあるモバイル構成プロファイルが利用されています。これがインストールされると、攻撃者はユーザーの連絡先、写真、端末情報に即座に疑いを持たれることなくアクセスできます。
モバイルマルウェアについてさらに読む:GodFatherマルウェア、正規モバイルアプリの乗っ取り機能を強化
SarangTrapの背後にいる脅威アクターは88のユニークなドメインを登録し、そのうち70以上が実際にマルウェアを配布していました。これらのうち少なくとも25はGoogleなどの検索エンジンにインデックスされており、出会い系、ファイル共有、ソーシャルネットワーキングなどの一般的なキーワードで上位表示されていました。これにより、悪意のあるページが疑いを持たないユーザーに信頼できるもののように見えました。
前述の通り、Zimperiumは250以上のAndroidマルウェアサンプルも発見しており、その多くは微妙に異なるバリエーションで、一部は主要な権限を完全に省略して検出を回避しています。可視的な権限が減っていても、これらのアプリは依然として大量の個人データを流出させています。
感情操作と技術的巧妙さの融合
このキャンペーンは、技術的な巧妙さとソーシャルエンジニアリングの手法を組み合わせています。報告されたケースの一つでは、失恋で悲しんでいた男性が偽の出会い系プロフィールを通じて標的にされました。フィッシングリンクからアプリをダウンロードし、コードを入力した後、彼の端末は侵害されました。攻撃者は盗んだコンテンツを使って彼を脅迫し、個人的な動画を家族に暴露すると脅しました。
Zimperiumは、招待コードや異常な権限を要求するアプリには注意し、サードパーティのアプリストアは避け、インストール済みプロファイルやセキュリティ設定を定期的に確認するようユーザーに警告しています。
SarangTrap作戦は現在も活動中で進化を続けており、これまで以上に警戒が重要です。
翻訳元: https://www.infosecurity-magazine.com/news/malware-campaign-dating-apps/